Компания Eastman Kodak в среду подтвердила, что неавторизованная третья сторона незаконно получила доступ к части ее данных, поскольку группа вымогателей ShinyHunters взяла на себя ответственность на своем сайте с утечками в даркнете и пригрозила опубликовать украденные файлы, если Kodak не выйдет на связь до четверга, 18 июня 2026 года — крайний срок, который на момент публикации истекал через несколько часов.
BleepingComputer первым сообщил о подтверждении компании. ShinyHunters утверждает, что эксфильтровала более 2,2 миллиона записей, содержащих личную идентифицирующую информацию клиентов и внутренние корпоративные данные. Kodak — которая сегодня в основном функционирует как производственная и технологическая фирма, работающая по модели B2B, а не как потребительский бренд — не подтвердила эту цифру, и группа не предоставила образцов доказательств для ее обоснования. Поскольку клиентами Kodak являются корпорации и промышленные партнеры, а не розничные потребители, риск от заявленной кражи выходит за рамки фишинга: корпоративная личная идентифицирующая информация от лицензирующей и производственной компании обычно включает контактные данные для закупок, данные о закупках, детали контрактов и рабочие адреса электронной почты — именно та информация, которая необходима для осуществления мошенничества с поставщиками и компрометации деловой электронной почты в отношении третьих сторон по всей цепочке поставок Kodak.
ShinyHunters заявляет о 2,2 миллионах записей Kodak в ультиматуме от 18 июня
ShinyHunters внесла Kodak в свой портал вымогательства, размещенный в сети Tor, 15 июня 2026 года, наряду с несколькими другими крупными корпоративными целями, заявленными в тот же день: Sysco Corporation, американский гигант дистрибуции продуктов питания (заявлено 61 миллион записей Salesforce), и Хьюстонский городской колледж в Техасе (предположительно скомпрометированы сотни тысяч студенческих записей). Сообщение банды для Kodak было кратким: «Скомпрометировано более 2,2 миллиона записей с личной идентифицирующей информацией клиентов и другими внутренними данными. Это последнее предупреждение, свяжитесь с нами до 18 июня 2026 года, прежде чем мы опубликуем их вместе с несколькими досадными (цифровыми) проблемами, которые вас ждут».
Представитель Kodak сообщил BleepingComputer, что компания «недавно обнаружила, что неавторизованная третья сторона незаконно получила временный доступ к ограниченному объему данных компании», что она привлекла внешних экспертов по кибербезопасности для расследования того, что было получено и скопировано, и что она сотрудничает с правоохранительными органами. Kodak добавила, что «уверена, что угрозы для наших систем или операций нет», — но не ответила на последующий вопрос о том, была ли взломана ее внутренняя сеть.
Разрыв между заявлением ShinyHunters о 2,2 миллионах записей и характеристикой Kodak как «ограниченного объема» соответствует тому, как действует группа: она регулярно придерживает образцы доказательств до крайнего срока, используя угрозу публикации в качестве рычага, а не предоставляя доказательства заранее.
Кто такие ShinyHunters?
ShinyHunters — это финансово мотивированная группа вымогателей, активная с 2019 года, которая в настоящее время считается одной из самых плодовитых операций по краже данных в истории. Группа — аффилированная с The Com, рыхлой международной сетью киберпреступников, в которую также входят элементы Scattered Spider и бывшие участники Lapsus$ — действует по прямолинейной модели «плати или сливай»: украсть данные, установить короткий срок и опубликовать, если цель отказывается от взаимодействия.
Несмотря на многочисленные действия правоохранительных органов — включая арест в 2022 году гражданина Франции Себастьяна Рауля (приговоренного к трем годам тюремного заключения и штрафу в размере 5 миллионов долларов в январе 2024 года) и скоординированный арест четырех дополнительных предполагаемых членов во Франции в июне 2025 года — ShinyHunters продолжает работать без существенных перерывов. Децентрализованная структура группы делает ее устойчивой к арестам отдельных лиц: считается, что название отсылает к Shiny Pokémon, редким цветовым вариантам, которые игроки тратят огромное количество времени на поиски, и настойчивость группы отражает эту одержимость.
Только в 2026 году ShinyHunters взяла на себя ответственность за взломы Instructure Canvas (затронувшие студентов примерно в 9000 учебных заведений, по подсчетам самой ShinyHunters), Charter Communications (заявлено 42 миллиона записей), Oracle PeopleSoft (более 100 организаций через критическую уязвимость нулевого дня CVE-2026-35273, оцененную в 9,8 из 10 по шкале Common Vulnerability Scoring System) и десятки других организаций в рамках кампании, использующей неправильно настроенные экземпляры Salesforce Experience Cloud, которая, по утверждению группы, привела к получению более 1,5 миллиарда украденных записей, датируемых сентябрем 2025 года.
Соблюдают ли ShinyHunters угрозы утечки?
У группы есть задокументированная модель выполнения своих угроз, если требования о выкупе не выполняются. Когда 7-Eleven не заплатила к крайнему сроку 21 апреля 2026 года, ShinyHunters опубликовала 22 апреля архив украденных файлов размером 9,4 гигабайта — включая номера социального страхования и водительские удостоверения заявителей по франшизе — а затем выставила этот набор данных на продажу за 250 000 долларов на известном хакерском форуме.
Эллисон Никсон, директор по исследованиям в фирме кибербезопасности Unit 221B, публично призвала организации, ставшие целями ShinyHunters, не платить. «Они полагаются на интенсивность своего эмоционального манипулирования, чтобы заставить вас принять поспешное решение в течение 72 часов о выплате выкупа», — сказала Никсон PCMag. «У них нет убедительного аргумента, почему вы должны платить в первую очередь. Их единственный ответ вам — что они причинят вам вред. Но это не рациональный ответ».
Рекомендации ФБР соответствуют этой оценке. В консультативном сообщении от мая 2026 года, выпущенном Центром сообщений об интернет-преступлениях (IC3), бюро предупредило, что ShinyHunters часто использует стратегии преследования — включая угрожающие текстовые сообщения и звонки жертвам и членам их семей, а в некоторых случаях и «сваттинг» — и настоятельно рекомендовало жертвам не платить никаких требований о выкупе. Выплата финансирует будущие атаки, редко гарантирует удаление данных и часто приводит к повторным целенаправленным атакам, отметило бюро.
Instructure, разработчик Canvas, пошла по другому пути: она заплатила выкуп, потребованный группой, в мае 2026 года, достигнув «соглашения», которое включало журнал уничтожения в качестве цифрового подтверждения того, что украденные данные были уничтожены. Исследователи безопасности широко раскритиковали это решение, отметив, что невозможно узнать, действительно ли ShinyHunters уничтожила данные — или уже скопировала их на несколько узлов инфраструктуры.
Что поставлено на карту для деловых партнеров Kodak
Основанная в 1880 году как Eastman Kodak Company со штаб-квартирой в Рочестере, штат Нью-Йорк, Kodak вышла из банкротства в 2013 году как предприятие, ориентированное преимущественно на B2B. Она владеет примерно 79 000 патентов по всему миру и сегодня фокусируется на коммерческой цифровой печати, кинопленке и фотопленке, специальных химикатах для фармацевтического производства и производства аккумуляторов, а также лицензировании бренда.
Этот профиль B2B имеет решающее значение для оценки потенциального воздействия взлома. Корпоративная личная идентифицирующая информация в системах Kodak, вероятно, включает контактные данные для закупок, соглашения о закупках, условия лицензирования и рабочие адреса электронной почты для промышленных клиентов в различных секторах. Эти данные предоставляют злоумышленникам сырье для высокоцелевого компрометации деловой электронной почты — выдачи себя за поставщиков, финансовые отделы или контактных лиц по закупкам для перенаправления платежей или извлечения учетных данных.
Kodak не раскрыла категории данных, которые, по ее мнению, были доступны, и не подтвердила, вызывает ли инцидент обязательные требования об уведомлении в соответствии с Общим регламентом по защите данных Европейского Союза, Законом Калифорнии о конфиденциальности потребителей или применимыми статутами США о уведомлении о взломе. В соответствии со статьей 33 GDPR организации должны уведомить регуляторы в течение 72 часов после того, как им стало известно о взломе, который может повлечь риск для прав физических лиц; несоблюдение этого срока может привести к штрафам до 20 миллионов евро или четырех процентов от мирового дохода. Все 50 штатов США имеют свои собственные законы об уведомлении с различными сроками.
Что произойдет, если Kodak не заплатит
Крайний срок 18 июня наступает в четверг. Kodak публично не заявляла, выходила ли она на связь с злоумышленниками. Согласно заявленной модели ShinyHunters, отсутствие ответа приводит к публичной публикации предполагаемых 2,2 миллионов записей вместе с неуточненными «досадными (цифровыми) проблемами» — фразой, которую группа использовала в ультиматумах Rockstar Games, жертвам Oracle PeopleSoft и другим в этом году.
Независимо от того, решит ли Kodak заплатить или нет, эксперты по безопасности в целом отмечают, что оплата не дает никаких принудительных гарантий удаления данных и никакой защиты от второго раунда вымогательства со стороны тех же или аффилированных лиц. ФБР советует всем жертвам сообщать об инцидентах в бюро, а не вести переговоры напрямую с группами злоумышленников.
Часто задаваемые вопросы
Что ShinyHunters заявила, что украла у Kodak?
ShinyHunters заявляет, что украла более 2,2 миллиона записей, содержащих личную идентифицирующую информацию клиентов и внутренние корпоративные данные. Kodak подтвердила, что неавторизованная сторона получила доступ к «ограниченному объему» данных, но не подтвердила масштаб заявления ShinyHunters, и группа не предоставила никаких образцов доказательств.
Должна ли Kodak платить по требованию о выкупе от ShinyHunters?
ФБР настоятельно не рекомендует платить по требованиям о выкупе, предупреждая, что оплата финансирует будущие атаки и редко приводит к фактическому удалению данных. Фирма кибербезопасности Unit 221B, директор по исследованиям которой Эллисон Никсон подробно изучала ShinyHunters, советует организациям сопротивляться тактике давления группы и вместо этого обращаться в правоохранительные органы. Оплата не предотвращает повторное вымогательство со стороны тех же лиц.
Каков риск для клиентов и деловых партнеров Kodak?
Если взлом будет подтвержден в масштабе, заявленном ShinyHunters, украденная корпоративная личная идентифицирующая информация может позволить проводить целевые фишинговые кампании, компрометацию деловой электронной почты и мошенничество с поставщиками, направленное на организации по всей цепочке поставок Kodak — а не только на лиц, чьи личные данные могли быть раскрыты.
Что мне делать, если я являюсь клиентом или партнером Kodak?
Следите за подозрительными электронными письмами, которые, по-видимому, поступают от контактов Kodak, особенно теми, которые запрашивают изменение платежных реквизитов, обновление учетных данных или срочные финансовые действия. Kodak еще не выпустила прямых уведомлений клиентам; следите за официальными сообщениями Kodak, чтобы узнать, были ли затронуты ваши данные и будет ли официальное уведомление.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Bright
